O AlmaLinux fornece um Software Bill of Materials (SBOM, uma lista de materiais) para os lançamentos.
O que é um SBOM?
SBOM é a forma abreviada de Software Bill of Materials, é mais ou menos como a “lista de materiais” em uma codebase. Isso ajuda a identificar os conteúdos de um software, incluindo o que open source e quais componentes de terceiros estão sendo usados, informação de licenciamento, componentes versões e se existem vulnerabilidades conhecidas nesses componentes.
O SBOM é a “lista de ingredientes”, o código são os ingredientes, o sistema que faz o build é a “cozinha” onde esses ingredientes são finalizados no software final que você usa.
Por que os SBOMs são importantes?
Software open source é extensivamente usado em aplicações, mas isso tem levado a descoberta de vulnerabilidades e hacks altamente perigosos. SBOMs têm o objetivo de fornecer ainda mais transparência à comunidade e usuários de software open source, bem como uma maneira eficiente de identificar (em caso de risco) arquivos individuais, bibliotecas, dependências, etc. Assim, aumentando a confiança no uso de um software open source.
The Linux Foundation pensa assim também…
A Linux Foundation e a Open Source Security Foundation (OpenSSF) também elaboraram um plano chamado Source Software Security Mobilization Plan que pede a ação da indústria para desenvolver frameworks componentes, incluindo SBOMs, para agilizar a descoberta e a resposta à futuras vulnerabilidades como o Log4j.
...E o próprio presidente
Um SBOM foi destacado como uma parte principal para a solução apresentada pelo presidente na Executive Order on Improving the Nation’s Cybersecurity.
"the term “Software Bill of Materials” or “SBOM” means a formal record containing the details and supply chain relationships of various components used in building software. Software developers and vendors often create products by assembling existing open source and commercial software components. The SBOM enumerates these components in a product. It is analogous to a list of ingredients on food packaging."
O que o AlmaLinux Fornece
The AlmaLinux Build System Tem implementado um SBOM no pipeline pelas razões citadas acima, para possibilitar:
- Rastrear o inteiro processo de build desde pegar o código fonte dos repositórios git do CentOS até o lançamento de um pacote assinado e verificado em um repositório público
- Tornar o pipeline de build mais seguro assegurando que somente fontes confiáveis sejam usadas nos builds, evitando consequências de ataques, etc.
- Reduzir a quantidade de opções de corrupção de dados
Como nós fazemos isso?
O AlmaLinux está impulsionando o open source do Codenotary Community Attestation Service (CAS) para fornecer administradores com autenticação, verificação e visibilidade total SBOM.
- O CAS armazena todas as assinaturas dentro do immudb, o padrão open source para banco de dados imutáveis, usados por algumas da empresas e governos no mundo.
- O CAS é protegido contra manipulação. Todo dado de certificado tem sua integridade checada e verificada criptograficamente por meio de cliente CAS. Ninguém consegue alterar estes dados, nem mesmo o AlmaLinux ou qualquer pessoa.
- O CAS também é protegido contra ataques MITM. A chave criptográfica é verificada do lado do cliente e checada em cada comunicação.
Começando
Para mais informação, veja a wiki AlmaLinux: https://github.com/AlmaLinux/build-system/wiki/Codenotary-SBOM-integration